OpenSSL 1.0.1j - RHEL 6.5の「POODLE」脆弱性の修正(アップグレード)

OpenSSL 1.0.1j - RHEL 6.5の「POODLE」脆弱性の修正(アップグレード)

RHEL 6.5でOpenSSLをアップグレードする際に問題があります。このライブラリはOpenSSLにはありませんlibcrypto.so.10。代わりにopenssl 1.0.1j作成されたライブラリはですlibcrypto.so.1.0.0。ソフトリンクを作成しましたが、それでも他の用途では機能しませんlibcrypto.so.10

この問題の経験がある人はいますか?

説明(付録/編集):多くの人がOpenSSLの最新(2014.10.15)「POODLE」の脆弱性をエスケープするためにOpenSSLパッケージで直接1.0.1jバージョンを使用したいので、これは必須情報です。この時点でopenssl.orgからtar.gzファイルを取得することは問題ありません。これは以前も問題になっており、出版物が他のサイトにまだ存在する可能性があるため、openssl.orgの外のファイルを削除しないでください。 openssl ダウンロード

アップデートがサーバーでこれらの接続を許可したときに発生するサーバーの問題を完全に解決することはできません。この追加の脆弱性の議論は、以下で確認できます。 us-cert.govのNCAS部門

より回答EL6とEL7でRed HatベースのRPMを使用する方法について説明します。

/usr/lib32ビットと/usr/lib6464ビットのディレクトリを見ると、レイアウトは次のようになります。

  • libcrypto.a
  • libcrypto.so - > libcrypto.so.1.0.1j
  • libcrypto.so.10 - > libcrypto.so.1.0.1j
  • libcrypto.so.1.0.1j
  • .libcrypto.so.1.0.1j.hmac
  • .libcrypto.so.10.hmac -> .libcrypto.so.1.0.1j.hmaclibssl.a
  • libssl.so - > libssl.so.1.0.1j
  • libssl.so.10 - > libssl.so.1.0.1j
  • libssl.so.1.0.1j
  • .libssl.so.1.0.1j.hmac
  • .libssl.so.10.hmac -> .libssl.so.1.0.1j.hmac

openssllibサブディレクトリとlibもありますが、packageこれは決して問題ではありませんでした。

答え1

RPMはRHEL [6 | 7]およびその兄弟製品(CentOSなど)用にリリースされており、ほとんどのリポジトリでyum経由で利用できます。

これらのRPMはいくつかの「POODLE」の脆弱性を解決します。

  • CVE-2014-3567、
  • CVE-2014-3566と
  • CVE-2014-3513

望むより: 証明書ネットワーク

セキュリティアップデート確かに一部の特定のSSLv3の問題を解決するため、サーバーを更新する場合は、クライアントがこのプロトコル(特にCBC方式)を使用して接続する可能性を排除する必要があります。

次の方法でサーバー構成からSSL3を削除するのは非常に簡単です。

NGINX/エンジン:

  • ssl_protocols TLSv1 TLSv1.1 TLSv1.2;構成セクションでhttp 追加/交換
  • 「サーバー」セクションで、「ssl_protocols」ディレクティブがオーバーライドされていないことを確認してください。

サーバーディレクティブが見つかったら、削除して「HTTP」に管理してください。とにかくそうしなければなりません。

Apache:

  • SSLProtocol All -SSLv2 -SSLv3グローバルSSL設定セクションで追加/交換
  • Nginxと同様に、Webホストを確認してください。

以前のOpenSSL混乱と同様に、最新のOpenSSLバージョン番号(1.0.1j)と一致するように新しいRPM番号をリリースしませんでしたが、代わりにリリースの最後の範囲である1.0.1eにパッチを.rpmバックポートしました。.rpmRHELディストリビューション)で、現在は1.0.1e-30.[variable by specific machine version]

したがって、CentOS 6 64ビットを例にすると、.rpm次のようになりますopenssl-1.0.1e-30.el6_5.2.x86_64.rpm

OpenSSLアップデートと同様に、OpenSSLを使用するすべてのエントリ(Webサーバー、VPNなど)はサーバーから再起動するまで更新が適用されます。

答え2

wget http://www.openssl.org/source/openssl-1.0.1j.tar.gz
tar -xvf openssl-1.0.1j.tar.gz
cd openssl-1.0.1j
./config --prefix=/usr no-threads shared
make
make test
make install

openssl version

関連情報